熟悉小黑的小伙伴多半知道，小黑做事特别注重效率，常常通过软件工具提高工作便捷度
然而，小黑最近却意外翻车了
这是发生在谷歌Chrome浏览器中的“不幸”事故：小黑平时有个习惯，喜欢在谷歌浏览器上保存密码，这样在打开网站就不用输入密码，系统会自动填充密码
由于每次注册一个账号，都会在谷歌Chrome浏览器上“记住”密码，久而久之小黑在浏览器上已经保存了94个密码
▲ 自动填充密码本来，“记住密码”功能并没有什么大碍，直到一次偶然的机会，小黑突然发现自己有5个密码已遭泄露
在温暖的空调房里，小黑吓出一身冷汗，要知道小黑在浏览器里保存了大量隐私信息，密码一旦泄露，后果不堪设想
▲ 密码泄露在仔细检查泄露密码时，小黑发现5个网站泄露的密码都是同一个，暂时还没有重大隐私消息泄露
▲ 泄露的都是同样的密码经历密码泄露事故之后，小黑决定好好检查一下谷歌浏览器的密码，结果再次惊出一身冷汗
想知道小黑保存的账号密码，不需要复杂的黑客技术，不需要外接破解工具，只需要知道开机密码即可
进入设置，查看 “密码”项目，点击 账号左边的“眼睛”按钮，系统会自动弹出一个窗口，请求输入电脑开机密码，输完之后所有的账号密码都能一键查看
也就是说，任何人只要知道开机密码，都能在本人不在的情况下查看已保存的密码
原本，小黑以为Chrome浏览器会将密码保存在云端，想尽办法层层保护，没想到Chrome浏览器密码保护如同纸糊的窗纸，一捅就破
一气之下，小黑下载了猎豹浏览器跟360浏览器，想看看这些竞品跟Chrome浏览器在密码保护上有何不同
浏览器密码保护，没一个能打的打开电脑中的猎豹浏览器，密码功能与Chrome浏览器大不相同
不需要在“设置”中苦苦寻找，点击浏览器右上角“锁钥”按钮，就可以直接打开猎豹安全账户管家
点进去一看，只见小黑保存的账号一行行排列在页面中
点击单个账号，可以选择查看密码、编辑、删除等操作
在密码保护层面，猎豹浏览器比Chrome浏览器稍强，它有一个用户安全锁，需要输入正确的解锁图案才能查看密码
小黑找同事尝试了一下，在不知道小黑解锁密码的情况下，同事花了五六分钟也解不开账号安全锁
在安全锁界面，小黑还注意到有个重置安全锁功能
记得两三年前猎豹浏览器爆出一个bug，在不需要输入任何身份验证信息的情况下就可以重置安全锁
今天小黑又尝试了一下，发现bug已经修复，用户只有输入账户名称与密码才能实现重置安全锁
总之，在密码保护层面，猎豹浏览器确实做得还行
再看360浏览器，小黑此前没有使用过这款产品，为了测试密码自动填充功能，特意登录微博保存账号密码
360浏览器在记住密码时会自动弹出一个选项，用户可以自由选择保存密码或者不再提示
360浏览器密码管理功能藏得比较深，小黑在设置、用户中心里都没找到，最后在右上角管理按钮中发现，登录管家与截图、翻译等功能并列，属于浏览器附加功能
在密码保护上，360浏览器并不提供查看密码功能，只能添加、管理账号，除了用户本人以外，其他人根本无法得知账号密码
从谷歌Chrome浏览器、猎豹浏览器再到360浏览器，密码保护一个比一个严密
不管现在远不能说浏览器密码很安全，因为以上这些只能在物理层面防止身边的人窃取密码
事实上，身边亲人朋友很少会主动窃取账号密码，密码泄露一般都是由于病毒或黑客攻击
▲ XSS 测试工具小黑咨询了一位从事软件开发的朋友H君，他告诉小黑：“这种浏览器密码太好破解了，通过跨站脚本攻击就能搞定
浏览器记住密码机制与表单自动填充一样，攻击者可以在自己的域放一个页面，你的浏览器访问后，会自动填充这个页面的表单，比如Email、家庭地址、手机号等等，然后这个页面的JavaScript就可以获取到这些值了
”▲ 测试页面H君还告诉小黑：“普通的病毒木马通过提高安全意识，安装杀毒软件就能解决，但是这种密码自动填充都是明文密码，杀毒软件也帮不了
”▲ 解析JS 脚本预防小技巧：如何关闭自动填充既然浏览器自动填充密码这么不安全，那我们就要想办法去解决
最简单直接的办法就是关闭自动填充，在Chrome浏览器地址栏输入“chrome://settings/”即可进入管理界面，点击关闭提示自动保存密码与自动登录功能
▲ Chrome浏览器关闭提示保存密码接着，可以将已经保存的密码一个个删除，这样就能保证密码万无一失
删除密码虽好，但是小黑将近100个网站密码，一时间根本记不住
好在小黑即使发现浏览器有密码导出功能，可以一键将所有密码导出到桌面，保存为csv 表格格式
以后，虽然在输入网站密码时麻烦不少，可总算可以保证密码不会丢失
▲ 谷歌Chrome浏览器可以导出密码在删除密码时，小黑还总结出一些经验，在部分涉及隐私与工作相关的账号，小黑选择删除自动填充密码，在其他无关紧要的网站，比如虎嗅、36氪、IT之家这些科技娱乐类网站，小黑还是选择自动记住密码，只不过将密码改成平时不常用的罢了
▲ 猎豹浏览器关闭选项Chrome浏览器可以轻松关闭密码自动填充功能，猎豹与360浏览器也不难
猎豹在安全锁管理页面可以选择关闭提示保存账号密码功能，360浏览器也可以在高级设置里停止勾选开启弹条提示保存账号密码
不过在导出密码方面，小黑在两个浏览器中均没有发现这项功能，好在小黑在猎豹、360浏览器上的密码都有备份，暂时不需要导出功能
若是将这两个浏览器作为主力浏览器的小伙伴，估计要费一番功夫用来找回、导出密码了
▲ 360浏览器关闭选项安全的密码管理器正所谓鱼和熊掌不可兼得，在关闭自动填充密码半天后，小黑就切身体会到不方便之处
每次登录一些常用网站，都需要频繁输入密码，简直愁死人
而且，小黑还意识到一个问题，就是小黑在导出密码之后，为了方便直接放置密码文档在桌面上
如此一来，密码安全不是更得不到保障吗？▲ 表格明文密码更加不安全对此，小黑的解决方案是使用密码管理器
目前市场上有很多密码管理器，其中1Password 最为著名
这款软件工具在 2006 年起就开始提供密码管理服务，支持多个主流移动和电脑端平台，主要提供生成高强度密码、自动填充以及密码文件同步的功能
▲ 1Password需要付费可惜，1Password在国内并不能有效发挥其实力
首先它是付费应用，每个月需要支付2.99美元，其次它的功能属性需要在国外才能发挥，比如自动填充密码功能，需要特殊条件才能实现
小黑正常上网，使用自动填充密码功能，结果只会显示“无法访问该网站”
除了国外常用的密码保护网站，其实国内也有替代方案，比如花密
这款工具原理是通过原始密码生成新的密码，本身并不提供任何密码保存功能，也不需要付费
使用过程也非常简单，输入一个便于记忆的初始密码，在输入区分代号，系统自动生成复杂的16位密码，这样就避免因密码简单而被破解
花密拥有网页版、MAC版、ios版等多终端，在Chrome浏览器上也有扩展程序
小黑首先尝试在网页版输入豆瓣密码“XXXXXX”（具体密码不能透露），再输入区分代号douban，结果显示一个复杂的密码
接着通过Chrome浏览器扩展程序，在登录页面输入记忆密码区分代号，系统就自动填充了复杂的16位密码
1Password与花密这些密码管理器，通过一个主密码或密钥文件加密，数据库都是使用当今已知最安全的加密算法 AES 和 Twofish 来加密的
有了这些密码管理器的帮助，完全不用担心密码泄露问题
据小黑所知，其他类似密码管理器工具还有 Dashlane、Bitwarden、Keeper、Enpass、KeePass，有兴趣的小伙伴可以一一尝试，从中找出最合适的密码
密码设置小攻略密码管理器可以有效提高安全性与便捷性，可这些管理器并不是万能的，也不是所有人都愿意使用密码管理器
如果我们的密码设置过于简单，还是非常容易被破解
2019 年 12 月，密码安全服务公司 SplashData 发布了第 9 个年度最烂密码百强榜单，结果显示十分之一的用户都在使用极其简单的“通用密码”，比如123456、11111、qwerty等等
▲ 傻瓜密码排名使用如此简单的密码，自然很容易被破解，黑客甚至不需要使用复杂的工具，只需用上最简单的撞库软件，就能在几分钟之内迅速解出密码
因此，在密码设置时，我们也要非常小心，尽量注意不同账号之间的密码区别，切记不要将同一个密码反复使用
▲ 密码长度与安全性同时，鉴于密码管理器的经验，小黑意识到密码越长越好
小黑在一款测试密码安全性的网站中先后输入三种常用密码，第一种8位数，数字与字母结合；第二种十位数，比第一种多了四位字母；第三种十六位数，由数字、字母加符号组成
结果显示，密码安全等级会随着密码长度而增加，特别是第三种密码，安全等级甚至达到满分
因此，我们平时在设置密码时，最好是数字、字母与符号结合，尽可能将密码长度设置得长一点
这样，才能最大程度保证密码安全
在这个互联网大发展的时代，APP、网站越来越多，几乎每个人都会注册几十个账号
出于方便，自动填充密码功能已经渐渐普及
无论是PC 浏览器还是手机浏览器，自动登录已经被大众所接受
但是不能为了图方便，就忽略了安全问题，小黑建议最好还是使用密码管理器，最大程度保证安全
即使不用密码管理器自动填充功能，也要使用加密功能，生成16位复杂密码，让自己的密码安全程度始终处于最高强度